《华为USG系列IPSECVPN实施经验总结.pdf》由会员分享,可在线阅读,更多相关《华为USG系列IPSECVPN实施经验总结.pdf(13页珍藏版)》请在三一文库上搜索。
1、. . 一、网络环境介绍 在清江酒店的USG防火墙调试IPSEC VPN 的时候发现官方的配置手册有些问题,所以详 细整理下实施过程出现的问题及解决方法。 网络情况简介:清江酒店总部设在武汉,宜昌,海口等地有10 个分支机构,只有总部 可以确认为固定IP, 分支机构无法确认,有的固定, 有的用 ADSL 。本案例用2 个分支介绍。 了解了客户的基本网络状况后开始跟客户商量设计调试方案,选用 IPSEC 野蛮模式组网。 在实施过程中发现以下问题: 1、配置手册中IPSEC VPN配置实例不完善,NAT部分没有写(要阻止VPN之间的 数据访问做NAT 转换) ,导致配置的时候不知道问题出在哪,在N
2、AT 中完善了 转换策略后,问题解决。 2、因为野蛮模式配置是用ike local-name 进行验证的,初步在IKE协商参数配置中 加入了 remote-name 这项,配置完成后IPSEC VPN建立成功,分支和总部用内 网 IP可以直接访问,第二天总部防火墙重启了一次后VPN 怎么都建立不起来, 打 400 后发现在IKE协商参数配置中使用了remote-name 出现问题,导致VPN 连接不上,去掉remote-name 后问题解决。 二、配置过程详细介绍 下 面 详 细 介 绍 下 配 置 过 程 , 总 部 内 网 用 的172.16.1.0/24网 段 , 其 它 分 支 采 用
3、 192.168.X.X/24 网段。防火墙的软件版本都是V100R005。 (一)总部配置 1、 配置本地IKE本地用户名 ike local-name qndc 2、 配置 ACL acl number 3001 创建序号3001 的高级访问控制列表 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 总部到分支1 的内网网段VPN触发策略 . . rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.2.0
4、 0.0.0.255 总部到分支2 的内网网段VPN触发策略 3、 配置 IKE安全提议 ike proposal 10 创建名称为10 的 IKE安全提议 authentication-algorithm md5 选择加密的算法为md5 4、 配置 IKE PEER ike peer a 创建名称为a的 IKE PEER exchange-mode aggressive 模式选择野蛮模式 pre-shared-key 123456 IKE协商的密钥为123456 ike-proposal 10 绑定 IKE安全提议 undo version 2 选择 V1 的版本 local-id-type
5、 name 使用野蛮模式的IKE local-name 验证 nat traversal 打开 NAT穿越 5、 创建 IPSEC 安全提议 ipsec proposal tran1 创建名称为tran1 的 IPSEC 安全提议 esp authentication-algorithm sha1 选择安全算法为哈希算法sha1 6、 配置 IPSEC 安全策略模板 ipsec policy-template map 1 创建名称为map 的策略模板 security acl 3001 绑定触发ACL ike-peer a 选择前面创建的ike-peer a proposal tran1 选择
6、前面创建的IPSEC 安全提议tran1 7、 创建 IPSEC 安全策略 ipsec policy map1 1 isakmp template map 创建名称为map1 的 IPSEC 安全策略绑定map 策略模板 8、 在外网接口上应用IPSEC 安全策略 interface Ethernet0/0/0 ip address 119.97.240.106 255.255.255.248 ipsec policy map1 应用 map1 的 IPSEC VPN 策略 9、 配置目的地址为192.168.X.X/16 网段不做NAT转换;这步不配的话内网数据直接做 NAT转换了,不会通过
7、VPN 隧道,那么前面的配置就白做了。 nat-policy interzone trust untrust outbound 进入 NAT配置视图 policy 1 策略 1 (这是优先级, 数字越小越优先) action no-nat 不做 NAT转换 policy destination 192.168.0.0 0.0.255.255 目的地址为192.168.0.0/16 不做 NAT转换 policy 2 策略 2 action source-nat 基于源地址的转换 policy source 172.16.1.0 0.0.0.255 源地址为172.16.1.0/24 做 NAT
8、转换 easy-ip Ethernet0/0/0 转换的外网地址为Ethernet0/0/0 的接口地址 # 一定要注意策略的优先级,反了就没有作用了。 . . (二)分之机构配置 分之机构1 的配置详解 1、 配置本地IKE本地用户名 ike local-name fenzhi1 2、 配置 ACL acl number 3001 创建序号3001 的高级访问控制列表 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 分之 1 到总部内网网段的VPN触发策略 3、 配置 IKE安全提议
9、 ike proposal 10 创建名称为10 的 IKE安全提议 authentication-algorithm md5 选择加密的算法为md5 4、 配置 IKE PEER ike peer a 创建名称为a的 IKE PEER exchange-mode aggressive 模式选择野蛮模式 pre-shared-key 123456 IKE协商的密钥为123456 ike-proposal 10 绑定 IKE安全提议 undo version 2 选择 V1 的版本 local-id-type name 使用野蛮模式的IKE local-name 验证 remote-addres
10、s 119.97.240.106 总部的外网地址 nat traversal 打开 NAT穿越 5、 创建 IPSEC 安全提议 ipsec proposal tran1 创建名称为tran1 的 IPSEC 安全提议 esp authentication-algorithm sha1 选择安全算法为哈希算法sha1 6、 配置 IPSEC 安全策略 ipsec policy map1 10 isakmp 创建名称为map1 的策略 security acl 3001 绑定触发ACL ike-peer a 选择前面创建的ike-peer a proposal tran1 选择前面创建的IPSE
11、C 安全提议tran1 7、 在外网接口上应用IPSEC 安全策略 interface Ethernet0/0/0 ip address 59.175.185.126 255.255.255.0 ipsec policy map1 应用 map1 的 IPSEC VPN 策略 8、 NAT策略配置。 nat-policy interzone trust untrust outbound 进入 NAT配置视图 policy 1 策略 1 (这是优先级, 数字越小越优先) action no-nat 不做 NAT转换 policy destination 172.16.0.0 0.0.255.25
12、5 目的地址为172.16.0.0/16 不做 NAT转换 policy 2 策略 2 action source-nat 基于源地址的转换 policy source 192.168.1.0 0.0.0.255 源地址为192.168.1.0/24 做 NAT转换 easy-ip Ethernet0/0/0 转换的外网地址为Ethernet0/0/0 的接口地址 # 分之 2 的配置参照分之1, ACL源地址改成本地内网网段,IKE本地名称重新命名;其 . . 它主要 VPN 主要配置都一样 (三)配置总结 总部和分之的配置区别在于,总部采用IPSEC 安全策略模板绑定到外网接口,分之机构
13、使用安全策略。 完成所有配置后使用可以display ike sa、display ipsec sa 查看 ike 安全联盟状态和ipsec 安全联盟状态; 有这些信息就代表ipsec vpn 连接成功。 . . 三、详细配置文档(现网成功稳定运行配置文档) 1、总部的配置文档 # ike local-name qndc # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trus
14、t direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit inte
15、rzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter defau
16、lt permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound # acl number 3001 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.2
17、55 rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # ike proposal 10 authentication-algorithm md5 # ike peer a exchange-mode aggressive pre-shared-key 123456 ike-proposal 10 undo version 2 local-id-type name nat traversal # ipsec proposal tran1 esp authentication-algo
18、rithm sha1 # ipsec policy-template map 1 security acl 3001 ike-peer a proposal tran1 # ipsec policy map1 1 isakmp template map # interface Vlanif1 . . ip address 172.16.1.1 255.255.255.0 # interface Cellular5/0/0 link-protocol ppp # interface Ethernet0/0/0 ip address 119.97.240.106 255.255.255.248 i
19、psec policy map1 # interface Ethernet1/0/0 portswitch port link-type access # interface Ethernet1/0/1 portswitch port link-type access # interface Ethernet1/0/2 portswitch port link-type access # interface Ethernet1/0/3 portswitch port link-type access # interface Ethernet1/0/4 portswitch port link-
20、type access # interface Ethernet1/0/5 portswitch port link-type access # interface Ethernet1/0/6 portswitch port link-type access # interface Ethernet1/0/7 portswitch port link-type access # interface NULL0 # firewall zone local . . set priority 100 # firewall zone trust set priority 85 add interfac
21、e Ethernet1/0/0 add interface Ethernet1/0/1 add interface Ethernet1/0/2 add interface Ethernet1/0/3 add interface Ethernet1/0/4 add interface Ethernet1/0/5 add interface Ethernet1/0/6 add interface Ethernet1/0/7 add interface Vlanif1 # firewall zone untrust set priority 5 add interface Ethernet0/0/0
22、 # ip route-static 0.0.0.0 0.0.0.0 119.97.240.105 # nat-policy interzone trust untrust outbound policy 1 action no-nat policy destination 182.168.0.0 0.0.255.255 policy 2 action source-nat policy source 172.16.1.0 0.0.0.255 easy-ip Ethernet0/0/0 # 2、分之 1 的配置 # ike local-name fenzhi-1 # firewall pack
23、et-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outb
24、ound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust
25、direction outbound firewall packet-filter default permit interzone trust dmz direction inbound . . firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzon
26、e dmz untrust direction outbound # l2fwdfast enable # acl number 3001 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 # ike proposal 10 authentication-algorithm md5 # ike peer a exchange-mode aggressive pre-shared-key 123456 ike-proposal 10 undo version 2 local-id-type
27、 name remote-address 119.97.240.106 nat traversal # ipsec proposal tran1 esp authentication-algorithm sha1 # ipsec policy map1 10 isakmp security acl 3001 ike-peer a proposal tran1 # interface Vlanif1 ip address 192.168.1.1 255.255.255.0 # interface Cellular5/0/0 link-protocol ppp # interface Ethern
28、et0/0/0 ip address 59.175.185.126 255.255.255.0 ipsec policy map1 # interface Ethernet1/0/0 portswitch port link-type access # interface Ethernet1/0/1 . . portswitch port link-type access # interface Ethernet1/0/2 portswitch port link-type access # interface Ethernet1/0/3 portswitch port link-type a
29、ccess # interface Ethernet1/0/4 portswitch port link-type access # interface Ethernet1/0/5 portswitch port link-type access # interface Ethernet1/0/6 portswitch port link-type access # interface Ethernet1/0/7 portswitch port link-type access # interface Ethernet2/0/0 # interface NULL0 # firewall zon
30、e local set priority 100 # firewall zone trust set priority 85 detect ftp add interface Ethernet1/0/0 add interface Ethernet1/0/1 add interface Ethernet1/0/2 add interface Ethernet1/0/3 add interface Ethernet1/0/4 add interface Ethernet1/0/5 add interface Ethernet1/0/6 . . add interface Ethernet1/0/
31、7 add interface Vlanif1 # firewall zone untrust set priority 5 detect ftp add interface Ethernet0/0/0 add interface Ethernet2/0/0 # ip route-static 0.0.0.0 0.0.0.0 59.175.185.1 # nat-policy interzone trust untrust outbound policy 1 action no-nat policy destination 172.16.0.0 0.0.255.255 policy 2 act
32、ion source-nat policy source 192.168.1.0 0.0.0.255 easy-ip Ethernet0/0/0 # 3、分之 2 的配置文档 # ike local-name fenzhi-2 # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter defa
33、ult permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall pack
34、et-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound
35、 firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound # l2fwdfast enable # acl number 3001 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 # . . ike proposal 10 auth
36、entication-algorithm md5 # ike peer a exchange-mode aggressive pre-shared-key 123456 ike-proposal 10 undo version 2 local-id-type name remote-address 119.97.240.106 nat traversal # ipsec proposal tran1 esp authentication-algorithm sha1 # ipsec policy map1 10 isakmp security acl 3001 ike-peer a propo
37、sal tran1 # interface Vlanif1 ip address 192.168.2.1 255.255.255.0 # interface Cellular5/0/0 link-protocol ppp # interface Ethernet0/0/0 ip address 172.16.235.50 255.255.255.0 ipsec policy map1 # interface Ethernet1/0/0 portswitch port link-type access # interface Ethernet1/0/1 portswitch port link-
38、type access # interface Ethernet1/0/2 portswitch port link-type access # interface Ethernet1/0/3 portswitch . . port link-type access # interface Ethernet1/0/4 portswitch port link-type access # interface Ethernet1/0/5 portswitch port link-type access # interface Ethernet1/0/6 portswitch port link-t
39、ype access # interface Ethernet1/0/7 portswitch port link-type access # interface Ethernet2/0/0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 detect ftp add interface Ethernet1/0/0 add interface Ethernet1/0/1 add interface Ethernet1/0/2 add interface
40、Ethernet1/0/3 add interface Ethernet1/0/4 add interface Ethernet1/0/5 add interface Ethernet1/0/6 add interface Ethernet1/0/7 add interface Vlanif1 # firewall zone untrust set priority 5 detect ftp add interface Ethernet0/0/0 add interface Ethernet2/0/0 # . . ip route-static 0.0.0.0 0.0.0.0 172.16.235.1 # nat-policy interzone trust untrust outbound policy 1 action no-nat policy destination 172.16.1.0 0.0.0.255 policy 2 action source-nat policy source 192.168.2.0 0.0.0.255 easy-ip Ethernet0/0/0 #